Imponer las consecuencias para los estudiantes que se encuentran en la red

Lo primero que debe hacer es asegurarse de tener una política escrita que describa qué dispositivos están permitidos en la red. Sin embargo, si no es consistente en la aplicación de su política, es inútil.

Esto también debe cubrir las políticas de uso para los profesores, incluido el bloqueo de sus computadoras cuando no están presentes en la máquina. También puede usar Política de grupo para evitar que los usuarios puedan ver la contraseña de WiFi.

Medidas técnicas

Lo siguiente consiste en varias opciones para limitar el uso de dispositivos de los estudiantes en la red de la escuela. El más efectivo es WPA2-Enterprise. Los otros están incluidos porque pueden ser lo suficientemente efectivos para limitar el acceso no autorizado de los estudiantes y, dependiendo de su red particular, pueden ser más fáciles de implementar.

Sin embargo, la pregunta sugiere que los estudiantes están en la red principal de la organización. Solo WPA2-Enterprise protegerá adecuadamente su red de un ataque de un dispositivo no autorizado. Una vez que se conoce un PSK, un estudiante tiene la capacidad de detectar el tráfico web de los profesores y, posiblemente, capturar el correo electrónico y los hashes de Windows. Además, un usuario malintencionado podría comenzar a atacar otras máquinas directamente.

WPA2-Enterprise

La mejor solución sería implementar WPA2-Enterprise, en lugar de usar una clave previamente compartida (WPA2-PSK). Esto permite que se emitan credenciales individuales. Esto se implementa mediante la instalación de certificados de cliente en cada máquina. Esto requiere un poco de ingeniería y no es trivial de configurar en entornos más grandes. Esta página tiene algunos buenos consejos sobre cómo implementar WPA2-Enterprise.

Portal cautivo

Como se menciona en @Steve Sether , Chillispot el portal cautivo se puede usar para autenticar a los usuarios una vez que se hayan conectado a la red. Aunque no tengo pruebas a las que apuntar, sospecho que un portal de este tipo puede evitarse falsificando direcciones MAC e IP. Sin embargo, aumenta la dificultad y será más fácil de administrar que el filtrado de MAC en múltiples dispositivos.

Filtrado de direcciones MAC

Como mencionó, las direcciones MAC pueden ser falsificadas, por lo que la efectividad del filtrado de direcciones MAC es limitada. Sin embargo, muchos teléfonos evitan la falsificación de la dirección MAC, por lo que esto solucionará algunos de los usuarios problemáticos. El iPhone, por ejemplo, debe ser liberado. antes de que se pueda cambiar la dirección MAC . La parte más difícil de usar el filtrado de direcciones MAC será administrar la lista de direcciones MAC permitidas, especialmente en múltiples dispositivos de diferentes proveedores.

También argumentaría que hay un beneficio 'legal' de usar el Filtrado de direcciones MAC o un Portal cautivo. Puede ser difícil afirmar que un usuario no está autorizado para acceder a una red cuando la contraseña se escribe en una pizarra. Sin embargo, si un usuario tiene que omitir explícitamente una restricción de seguridad, tiene un caso más sólido en contra de la actividad.

Uso de un proxy de Internet para evitar el uso no autorizado de HTTPS

Implemente una solución HTTPS que use su propia clave privada. Puede instalar el certificado correspondiente en las máquinas de la organización y no notarán nada diferente (aunque la organización aún debe informarle al personal que se está produciendo la interceptación de HTTPS). Sin embargo, los dispositivos no autorizados sin el certificado recibirán un mensaje desagradable acerca de que HTTPS no es válido cada vez que intentan navegar por una página segura. Además, dado que está descifrando el tráfico HTTPS, podrá monitorear el tráfico. Por ejemplo, ver qué estudiantes inician sesión en Facebook le permitirá dirigirse directamente a esos estudiantes.

Muchas implementaciones de Control de contenido ofrecen la capacidad de descifrar el tráfico HTTPS. Si la escuela ya tiene un mecanismo de control de contenido (como Bluecoat o Net Nanny), hable con su proveedor sobre cómo implementar esta función.

Estás intentando resolver el problema incorrecto.

Son miles y tú eres uno. Como no eres un experto en seguridad (por lo que tengo entendido, disculpa si estoy equivocado) y ellos tampoco lo son, pero son una horda, simplemente estás obligado a perder si peleas una guerra convencional .

@AviD dio una gran respuesta en un comentario:

  

Aquí hay una idea no técnica: esta es una escuela, ¿verdad? Así que educarlos. Enséñeles la importancia de las consecuencias, el uso aceptable, la ilegalidad de la piratería ... y sí, el uso adecuado de Internet. Quiero decir, darles acceso, a una red filtrada separada si es necesario, y crear un currículo alrededor de eso. Clases, seguridad en Internet, cumplimiento estricto con cualquier AUP, etc. Permítales acceder a la red y úselos para enseñarles a ser buenos ciudadanos de Internet. Y cómo usar Internet de manera productiva para ayudar en su educación.

No solo no puedes ganar la guerra de evitar que obtengan acceso, sino que incluso si lo haces , no habrás logrado nada: todavía tienen sus dispositivos, también seguirán distraerse, solo de diferentes maneras .

Además, al hackear les enseñará lecciones valiosas sobre "resolución de problemas", podríamos decir. Si este no es el tipo de problema que quiere que resuelvan, encuentre problemas mejores, más entretenidos o útiles.

Tenga en cuenta que, aunque sea factible (supongo que no lo es), prohibirles traer los dispositivos tampoco es una buena solución: necesitan aprender a tener dispositivos a mano y no usarlos. , siguiendo la lección en su lugar. Si no aprenden esta lección, en el futuro tendrán el mismo problema social y laboral .

Finalmente, si pueden administrar para no seguir tus lecciones y seguir obteniendo buenas calificaciones , entonces el problema podría estar aquí. ¿Son tus pruebas demasiado fáciles o demasiado baratas? ¿Son tus lecciones inútiles? Este es el punto. Por otro lado, si fallan en las pruebas, podrían / deberían darse cuenta de que tal vez seguir las lecciones les ayude a tener éxito ...

Como DDPWNAGE señala correctamente:

  

Esto es 2015, ¿verdad? En mi opinión, a los estudiantes se les debe permitir limitar   acceso a Internet. Si eres profesor de secundaria, pregunta al   Si puede enseñar una clase sobre el uso de Internet y enseñar   Algunas clases de computación básica. Un número creciente de niños están tomando   interés en estos temas, y un lenguaje de programación aprendido en alta   La escuela puede más tarde salvar a un niño miles en la universidad. Me estoy graduando de   HS el próximo viernes, y estoy saliendo con un juego de iOS usando   Objective-C como lógica. Solo que los niños se mantengan en el tema, y ellos pueden hacer   grandes cosas.

Ethernet

Antes de que todos los que digan que los iPads no tienen puertos Ethernet, todo esto es simplemente una capa de "seguridad".

En la mayoría de los casos, los profesores deberían poder usar sus computadoras portátiles con un cable físico físico básico Ethernet BASE-100TX CAT5 +.

Habrás reducido el área de la superficie de ataque (ya que las claves ya no estarán en las computadoras portátiles del profesor).

Además, si los estudiantes tuvieran acceso al CAT5 físico, sería más difícil de explotar (puede ver un dispositivo físico conectado a un cable y la mayoría de los teléfonos carecen de un conector RJ45).

Si las contraseñas tienen fugas, es posible que tenga un problema mayor que restringir el acceso a Wifi. Suena como si los niños pudieran hacer casi cualquier cosa que pueda hacer un profesor (¿incluyendo manipular los resultados de los exámenes?) Y lo hacen de manera rutinaria en su ubicación.

Parece como si un poco de la formación del profesorado solucionara esto, después de un trabajo de detective para reducir la fuente de la fuga. Puede ser una computadora pirateada o un enrutador en lugar de un error humano, así que no estoy abogando por nada draconiano. Instalaría algún registro o daría a los profesores contraseñas individuales (temporalmente).

¿Quizás también facilita que los maestros obtengan ayuda de un adulto o que usen cuentas de invitado si un niño está ayudando?

• Dé a cada usuario autorizado su propia contraseña individual. Entonces estará en posición de juzgar de dónde provienen las fugas (asumiendo que se están filtrando en lugar de resquebrajarse). (Por ejemplo, puede que necesite educar a uno de sus profesores para que no deje la contraseña escrita en su escritorio).

• Configure reglas de firewall duras que bloqueen el acceso a la mayoría de Internet. Solo deje el mínimo de sitios accesibles. Los estudiantes pueden dejar de intentar conectarse si no les da acceso a Facebook (por ejemplo). Los usuarios autorizados pueden solicitar fácilmente que un sitio se desbloquee si lo necesitan. El bloqueo también podría configurarse para que solo se aplique a las conexiones inalámbricas, de esa manera no será un inconveniente para el personal de administración que está en su computadora en su escritorio todo el día en una conexión por cable.

Considera una actualización de equipo

Sé que está buscando una solución sin presupuesto, pero un conjunto coincidente de WAP de nivel empresarial y un controlador central podrían facilitar la protección de la red. Compare el costo de la defensa contra una demanda por acoso cibernético, hostigamiento de un empleado o para facilitar la falsificación de los puntajes de las pruebas ...

Usar filtrado de MAC

Reunir las direcciones MAC le da un cambio para hablar con cada miembro del personal sobre sus expectativas para proteger su cuenta y equipo. Una lista de direcciones MAC, números de serie de hardware y otra información sobre el equipo de la escuela también es importante para demostrar que no ha sido objeto de robo.

Haz de DHCP un honeypot

Asigne direcciones IP estáticas de dispositivos del personal y miembros desde un rango manejable, y permítales el acceso a Internet que sea apropiado. Configure DHCP para proporcionar direcciones de un rango diferente para direcciones MAC no reconocidas y configure un redireccionamiento DNAT para que lo único que un usuario vea cuando venga de ese rango de direcciones IP sea una página web estática con instrucciones para hablar con usted:

  

"Esta red es operada por la escuela XXX y es solo para uso académico autorizado. Si cree que está viendo esta página por error, consulte al Sr. McQueen en la sala XXX".

Aplica las consecuencias

Si se supone que los estudiantes no deben tener teléfonos y computadoras portátiles, haga cumplir eso. Primera ofensa, confisca el dispositivo de inmediato, haz que un padre venga a recogerlo. Segunda ofensa, mismo ejercicio, suspender al estudiante, igual que si un estudiante hubiera sido atrapado con drogas o con un arma. Para aquellos estudiantes que tienen que llevar un teléfono a / desde la escuela (si es una escuela secundaria, quizás necesiten un teléfono para ir a trabajar o ir a la escuela), haga que lo envíen a la secretaria antes de que comience el día escolar y fuera después.

Es necesario reforzar la seguridad humana, no la seguridad técnica. La contraseña de WiFi es suficientemente buena, las preguntas reales son " ¿Quién está filtrando las contraseñas a los estudiantes? " y " ¿Cómo detenerlos? ". No puede tener seguridad si las personas privilegiadas (personal) comparten sus credenciales con las que está intentando bloquear.

La configuración de contraseñas diferentes para cada persona solo ayudaría como tal para que puedas bloquear a quienes revelen sus contraseñas. Y luego, gradualmente, enséñeles a ser más cuidadosos empleando un procedimiento de restauración de acceso largo y problemático: D

// editar: Después de volver a leer su pregunta, me doy cuenta de que ya ha dicho cómo se filtran las contraseñas.

Some of the teachers are not at all comfortable with technology 

Por lo tanto, puedo proponer medios extremos para usted:

¡Entoncescambialatecnología!Wi-Fiescomplicadoyconfuso.Reempláceloconcables.Loscablessonsimplesyfácilesdeentender:unoloenchufa,laslucescomienzanaparpadearyfuncionaInternet.ComprendaquenoleinstoaapagarfísicamentesuWi-Fi.Simplementesugieroquelamayoríadelosprofesoresnodeberíanusarlodirectamente,porloquenoesnecesarioqueconozcanlacontraseña.

Sinopuedeobteneruncableenalgúnlugar,unsimplepuntodeaccesoenmodoclienteproporcionaráunconectorEthernet.LacontraseñaenelpaneldeadministraciónharáqueseamuydifícilaprendercómoesteAPautorizaasu"red troncal" Wi-Fi.

Para los Chromebooks y los iPads, configure una conexión Wi-Fi dedicada en la habitación donde se usan. Puede cambiar su contraseña después de cada clase y anunciar la nueva cuando comience la próxima clase.

Yo usaría WPA2-Enterprise, así que todos usarían su propio nombre y contraseña, no solo una contraseña, que es igual para todos. Para configurar WPA2-Enterprise, solo necesita tener un servidor RADIUS. La opinión más barata, creo, es comprar un servidor NAS. Admite varias cosas y RADIUS también a veces (recomiendo Synology para esto).

La alternativa es usar algún sistema de punto de acceso para requerir inicio de sesión, pero no todos los enrutadores lo admiten y es bastante caro.

El filtro MAC mencionado y las capturas DHCP no son la seguridad principal. Debe haber registrado todas las direcciones en el (los) enrutador (es), por lo que no hay opción para traer su propio dispositivo. Lo siguiente es que el filtro MAC y las trampas DHCP se pueden romper en unos 5 a 15 minutos.

Al último párrafo: alguien debería decirle a los maestros que esto está mal. Aunque puede configurar el bloqueo del dispositivo después de un tiempo de inactividad y muchas otras cosas, no hay una manera efectiva de dejar de decir la contraseña a las personas que no deberían tener la contraseña. Además, deberían cambiar las contraseñas periódicamente.

Pero lo veo todo de esta manera: no hay forma de detener al pirata informático (estudiantes), solo puedes hacer que el pirateo sea más difícil.

Configure un portal cautivo que utilice RFC 6238 como Google Authenticator (GA) ( enlace ). GA tiene un modulo PAM. Haga que cada empleado, instale la aplicación, luego vaya a su oficina de TI, en persona, para configurar (sincronizar) su cuenta con la aplicación.

Utilice el token de autenticación como único o segundo factor. Si se filtran los códigos QR o los secretos, vuelves al caos, pero deberías poder contenerlos.

También puede usar urQui ( enlace ) en lugar de Google Authenticator

Voy a recomendar hacer lo que la mayoría de las fuentes públicas de Wi-Fi hacen, y requieren autenticación a través de un sitio web con nombres de usuario y contraseñas individuales. Use una contraseña de WPA y, si lo desea, proporcionará cierta protección contra el sniffing informal.

Está disponible a través del enrutador DD-WRT gratuito, específicamente a través del software llamado ChiliSpot . Luego puede usar un proveedor externo para manejar la autenticación de los usuarios.

  

ChilliSpot es un acceso inalámbrico o de código abierto de Captive_Portal o LAN.   controlador de puntos. Se utiliza para autenticar usuarios. Soporta web   inicio de sesión basado que es el estándar de hoy para HotSpots públicos.   La autenticación, autorización y contabilidad (AAA) es manejada por un   Proveedor en línea o un servicio de radio local que usted proporcione.

Cada maestro tendrá un inicio de sesión individual. Si bien las contraseñas aún podrían "filtrarse", podría cambiar fácilmente cualquier contraseña para un usuario, ya que el servicio también ofrece contabilidad, y encontraría a la persona responsable de filtrar la contraseña. En este momento estoy seguro de que es un gran problema cambiar la clave precompartida, ya que necesita ser comunicada a tanta gente, así que supongo que no lo haces muy a menudo. Además, escribir un nombre de usuario y contraseña "se siente" más como piratear que simplemente compartir una contraseña WPA (lo que las personas hacen todo el tiempo). Por lo tanto, incluso este cambio probablemente reducirá el abuso, incluso si se filtra un inicio de sesión individual.

Lo recomendaré contra el filtrado de direcciones MAC porque es una pesadilla de mantenimiento cada vez que un profesor quiere conectar un nuevo dispositivo a la red. Se podría hacer, por supuesto, pero parece más problemático de lo que vale. Además, la suplantación de direcciones MAC es relativamente trivial, y una vez que se descubrió, solo sería cuestión de tiempo antes de que todos supieran cómo hacerlo.

Supongo que ya ha pensado en la opción de "cumplimiento" y la ha rechazado por sus propios motivos. Bueno. Espero que las escuelas no vayan más allá en el camino de ser más como prisiones que lugares para aprender.

Encuentra una manera de no dar la contraseña. No tengo experiencia con esta herramienta, pero SpiceWorks tiene un programa gratuito de gestión de dispositivos móviles en enlace . Utilícelo para distribuir la contraseña WPA2 a todas las computadoras que están autorizadas para conectarse. Si un estudiante tiene en sus manos el instalador, eso no lo ayudará porque puede configurarlo para que el dispositivo tenga que ser aprobado antes de que obtenga la contraseña.

802.1X

  

IEEE 802.1X es un estándar para el control de acceso a la red basado en puertos (PNAC): proporciona un mecanismo de autenticación para los dispositivos que desean conectarse a una LAN o WLAN.

Hay diferentes maneras de configurarlo, así que tendrá que investigar cuáles son sus equipos y necesidades, pero un caso de uso típico es si tiene un MS ActiveDirectory con todos sus usuarios (personal) que tienen cuentas AD. Luego, puede configurar un servidor RADIUS y los usuarios pueden autenticarse con sus credenciales de dominio normales para obtener acceso a la red.

Aquí hay una estrategia diferente. Comencemos asumiendo lo siguiente:

1. Cualquier contraseña que les dé a los maestros se filtrará siempre y cuando los maestros no tengan ninguna motivación para no compartir sus contraseñas
2. Una vez que se filtra una contraseña, viaja ampliamente de boca en boca
3. La aplicación / acción contra los estudiantes por usar contraseñas prestadas es difícil
4. Estamos tratando de detener al estudiante promedio y no a un pirata informático realmente motivado
5. Tener una lista estática de MAC es demasiado restrictivo y, de todos modos, se puede falsificar
6. Tener cualquier tipo de lista de MAC dinámica hace que sea mucho el trabajo diario tener que agregar dispositivos y, además, se puede falsificar de todos modos.
7. Realmente no te importa el tipo extraño o el hecho de iniciar sesión de forma ilegítima, siempre y cuando no haya tantos usuarios que inicien sesión para inundar tu ancho de banda

Ahora, dado todo esto, la única solución que creo que se ajusta al caso de uso es una contraseña que cambia con frecuencia. Ahora hay que admitir que eso podría ser un poco difícil de implementar pero no imposible.

Primero pensemos en lo que podría funcionar para su caso de uso y luego nos preocuparemos de cómo implementarlo. Lo que necesita es un sistema que genere una contraseña con un vencimiento. Por ejemplo, todos los días, cuando alguien intenta iniciar sesión, le envía un código de acceso que funciona durante 8 horas a través de un medio de canal externo que funcionaría. p.ej. Use un mensaje de texto / SMS para enviarles el código de acceso. Los teléfonos celulares son ubicuos. Casi todos tus empleados los tendrán. En el lado positivo, la contraseña no tiene que ser muy larga y difícil ahora. Un código numérico de 4 o 6 dígitos debería ser suficiente para la mayoría de los propósitos.

En este sistema, incluso si un profesor regala una contraseña, accidental o intencionalmente, el daño es mínimo porque el número de usuarios ilegítimos que pueden obtener la contraseña en 8 horas es limitado. Y la contraseña no es buena después de eso.

Básicamente, haz la vida más difícil para los malos.

Si quisiera empeorar las cosas, también podría hacerlo para que cualquier código de acceso solo fuera válido para un dispositivo.

Implementación: no estoy seguro de cómo se llaman los sistemas, pero he visto esto en aeropuertos (especialmente fuera de los EE. UU.) y otros lugares públicos antes. Tengo que ingresar mi número de teléfono celular y aceptar los términos en la página de inicio de sesión que se me presentan cuando intento iniciar sesión en una red WiFi y luego el sistema me envía un mensaje de texto en mi teléfono celular con el código de acceso necesario para iniciar sesión.

Enviando mensajes de texto: con algo como Twilio o las docenas de otras API de SMS El envío en línea del mensaje real no debería ser tan difícil. Con menos de un centavo por mensaje enviado, no debería abrumar su presupuesto.

Alternativa a la mensajería de texto: use un generador de código pin basado en el tiempo como uno de esos controles RSA o incluso el autenticador de Google. Pero programar este tipo de solución e integrarla en su solución podría no ser trivial.

Te estás acercando al problema por el camino equivocado, y en el proceso te conviertes (y en la institución en general) en el enemigo. El cuerpo estudiantil es, colectivamente, más inteligente y tiene más recursos. Además, no olvides para quién trabajas (ellos).

Si estuviera en tu lugar, tomaría la ruta simple: una red wifi para estudiantes completamente abierta. Sí, has leído bien, sin restricciones.

La forma en que lo "controlas" es que se sepa que la red está monitorizada. Y cualquier tráfico "inusual" se publicará en el sitio web de la escuela para que todos lo vean.

Estás incluyendo clases de la era de la información, ¿sí? ¿Cómo funcionan las redes, descifrado de contraseñas, seguridad de la información, análisis de estafas del mes, etc.? Si no, estás fallando en tu trabajo como educador. Estamos en el siglo XXI, se requiere conocimiento y es más importante que la división larga o la Revolución francesa. Sus teléfonos ya hacen división.

Debería decirles a los maestros sobre esto, para que no les den contraseñas a los estudiantes y luego apliquen el esquema WPA2-Enterprise.

El problema humano (ingeniería social)

Usted tiene maestros que entregan casualmente las contraseñas a los estudiantes. El primer grupo que necesita educar sobre el uso de la red son sus profesores. De lo contrario, otras medidas de seguridad son inútiles.

Suponiendo que está utilizando una contraseña segura para la clave WiFi y que usa WPA2 (ni WEP ni WPA, sino WPA2), la red inalámbrica es no particularmente fácil de ingresar.

Lo que significa que sus maestros les están dando la contraseña a sus estudiantes, ya sea de manera directa e intencional, o mediante un tratamiento laxo de seguridad (escribiendo la contraseña, dejando las computadoras desbloqueadas, etc.)

Hay muchas otras respuestas que abordan cosas como el filtrado de direcciones MAC (sin sentido), el establecimiento de consecuencias claras por el mal uso de la red, etc.

Algunas respuestas también abordan la posibilidad de darles a los estudiantes su propia red para usar.

La solución técnica

Algunas respuestas han sugerido variaciones en la configuración de una red segura. Esto se puede hacer con una inversión relativamente mínima, y se puede extender fácilmente para proporcionar múltiples redes para diferentes usos (red de maestros / administradores para cosas sensibles, red de estudiantes para Chromebooks en el aula y quizás incluso uso limitado de dispositivos propios de los estudiantes). p>

Si tiene Active Directory (un servidor Windows) o un servidor SAMBA de Linux, puede configurar la autenticación WPA-Enterprise en su red inalámbrica.

Además, puede implementar puntos de acceso relativamente asequibles que se comunican entre sí y le permiten atender múltiples SSID (más de una red inalámbrica), cada uno en una VLAN diferente. Cada VLAN es una red independiente y no puede comunicarse con otras VLAN, excepto a través de un enrutador, por lo que el enrutador es donde establece reglas de firewall para controlar qué se puede comunicar con qué. Y una red puede usar WPA-Enterprise mientras que otra usa WPA2, o está abierta, pero obliga a la autenticación a través de un portal de invitado cautivo y un firewall que impide las conexiones a la red de administración.

El solo hecho de otorgar a los estudiantes un dominio propio conectado a la red puede reducir la cantidad de ellos que estén interesados en violar la política y poner en riesgo sus calificaciones o sus veranos para ingresar a la red de administración confidencial.

No estoy tratando de vender ningún equipo en particular, pero como solo un ejemplo, puede obtener los AP Ubiquiti Unifi por menos de $ 70 cada uno. Pueden servir hasta cuatro SSID, y el software del controlador es "gratuito" y se ejecuta en Windows o Linux e incluye un portal para invitados que le permite a los visitantes (alias "estudiantes") iniciar sesión individualmente para acceder a la red. Puede implementar tantos de estos como necesite para obtener una cobertura inalámbrica adecuada, y los dispositivos / computadoras portátiles se desplazarán a la perfección entre todos los puntos de acceso. Son dispositivos PoE, por lo que todo lo que necesitan para funcionar es un cable Ethernet. enlace

Puede obtener un enrutador real por $ 100 que se acercará a un Gigabit por segundo a través del motor de enrutamiento (en realidad, por $ 50 con un rendimiento algo menor si obtiene la versión "hermano menor" , y sí estoy pensando en una marca en particular). Cualquiera de estos pequeños enrutadores le daría una conexión a Internet única (o conexiones redundantes si lo prefiere) y la capacidad de segmentar la red en múltiples VLAN y controlar las comunicaciones entre esos segmentos, y presentar un servidor DHCP diferente para cada segmento de red. Por lo tanto, puede dirigir todas las conexiones de los estudiantes a través de un servidor proxy que registra la actividad y observa si hay cosas falsas / inapropiadas si eso es lo que quiere hacer.

Puede obtener un conmutador Gigabit Ethernet de 8 puertos ("inteligente") con soporte VLAN totalmente adecuado por $ 30, o una versión de 24 puertos del conmutador por $ 80. Para la escala y el presupuesto con el que está tratando, no tiene que gastar miles de dólares por dispositivo para usar los conmutadores HP Procurve o Cisco de primera categoría y dispositivos inalámbricos muy costosos con controladores de hardware dedicados . Esos son geniales, no malinterpreten, pero si no está en el presupuesto, entonces no está en el presupuesto.

Por unos pocos cientos de dólares, alguien con un poco de conocimiento de redes y acceso a documentación y foros en línea podría establecer una red robusta.

Ha habido muchas buenas respuestas sobre el uso de WPA Enterprise, que es la forma correcta de proteger una red de Wifi de múltiples usuarios. Los portales cautivos también funcionarían, y dudo que más de un par de estudiantes se molesten en tratar de falsificar direcciones MAC y cookies para tratar de evitar eso.

Mi respuesta favorita es cambiar a Ethernet por cable. Estar en presencia de Wifi es conocido por tener efectos negativos en la salud de las personas. Las respuestas sobre disciplinar a los estudiantes también son buenas.

La pregunta es cómo mantener a los estudiantes fuera de la red WiFi. Mi respuesta es hacer que no quieran estar en él. Esta es una escuela. Es para la educación. Filtrar todo el contenido no educativo en toda la red durante el horario escolar. Esto evitaría que tanto los maestros como los estudiantes se burlen durante el horario escolar. Se podría hacer con una lista blanca de servicios educativos, bloqueando todo el contenido no educativo conocido que posiblemente incluya todo el tráfico SSL / TLS no incluido en la lista blanca, y acelerando todo lo que es desconocido para 1KB / seg. El contenido multimedia parece ser lo que muchos estudiantes están usando. 1KB / seg pondría fin a eso. Los profesores pueden enviar un correo electrónico por adelantado solicitando que los sitios sean desbloqueados. Después de un tiempo se permitiría una buena colección de sitios educativos. Los maestros probablemente estarán molestos porque youtube.com no funciona. Explique a los maestros que los videos deben descargarse con anticipación usando uno de los varios descargadores de videos.

Si un número limitado de maestros necesita acceso completo sin filtro, entonces se puede configurar un proxy HTTP / HTTPS con una contraseña (o una contraseña diferente por maestro) para esos maestros. En realidad, configurar toda la red para que requiera un proxy para salir es una alternativa para asegurar el wifi.

Me doy cuenta de que esta idea va en contra de lo que quieren las empresas como Google, donde sus productos (como los Chromebooks) no funcionarán en una red filtrada a menos que desbloquees youtube (que es prácticamente todo lo relacionado con el entretenimiento). ¿Quieres que la escuela sea para la educación, o que las grandes empresas ingresen e intenten pasar por alto a los maestros y entregar contenido directamente a los estudiantes?

Otra forma de filtrar cosas es permitirlo parcialmente, pero romperlo de alguna manera. Youtube hace esto cuando quieren censurar algo. No lo eliminarán de Youtube, pero harán que no aparezca en los videos relacionados. Esto evita que las personas se cambien de Youtube, donde las cosas están tan censuradas, mientras que impiden que la mayoría de las personas lo vean. Puede asignar aleatoriamente todas las direcciones MAC pertenecientes a los productos de Apple (como los iPhones) a la lista de 5KB / seg, suponiendo que las computadoras de los maestros no sean Apple. Podrías solicitar a todos los profesores que apaguen sus dispositivos. Luego supervise todas las direcciones MAC que están en uso y asígnele el filtro o la lista de bloqueo, o acelere a 5KB / seg. Algunos dispositivos de los estudiantes seguirán funcionando y les llevará mucho tiempo averiguar qué está pasando.

Puede monitorear sitios que sabe que solo los estudiantes están realizando y luego bloquear según las direcciones MAC. La mayoría de los estudiantes y amp; Las combinaciones de dispositivos evitarán que la dirección MAC cambie. Con el tiempo, es probable que alguien descubra la fuga de la cárcel y, por lo tanto, será necesario implementar el filtrado en toda la red, Ethernet por cable o WPA Enterprise.